Implémenter un cadre de gouvernance des données : la pratique

Comment passe-t-on d’une stratégie à un cadre concret de gouvernance des données ?

Nathalie : Normalement, vous avez déjà fait le premier pas lors de la phase d’élaboration de votre stratégie : vous avez examiné toutes les procédures opérationnelles et les pratiques actuelles au sein de votre entreprise. Vous pouvez les évaluer à l’aune des meilleures pratiques du secteur et de la réglementation à laquelle vous devez satisfaire. C’est le point de départ à partir duquel vous pouvez poursuivre votre démarche.

Examinez toutes les procédures et pratiques actuelles

Engagez la conversation avec vos collaborateurs : comment les systèmes, les appareils ou les applications fonctionnent-ils, quelles données génèrent-ils, quel est l’input et quel est l’output ? Demandez les manuels, les procédures et les processus actuels ; sondez les connaissances de vos collaborateurs en matière d’intégrité des données, vérifiez s’il y a des risques à cet égard, etc. En impliquant vos collègues du niveau opérationnel dès le début, vous créerez un engagement plus important.

Déterminez les domaines de données

L’étape suivante consiste à déterminer les domaines de données d’application dans votre branche. Cela peut varier d’un secteur à l’autre : par exemple, vous pouvez avoir des domaines de données clients ou produits. Parmi ces domaines de données, l’on retrouve des éléments de données tels que des systèmes et des applications qui génèrent des rapports importants et des données fondamentales ou qui décrivent des méthodes essentielles à l’entreprise. Dans ce cadre, il convient d’identifier ce qui est critique et ce qui est important pour votre entreprise.

Établissez un aperçu de tous les systèmes et appareils

Inventoriez tous les appareils et tous les systèmes qui génèrent des données. Attribuez-leur un domaine de données et catégorisez-les selon la classification GAMP ou une classification similaire (qui convient pour un audit !), sans oublier de décrire la raison pour laquelle vous choisissez cette catégorie.

Qu’est-ce que la classification GAMP ?

Nathalie : Les directives GAMP publiées par la Société internationale d’ingénierie pharmaceutique (ISPE : « Good Automated Manufacturing Practices ») sont des directives pour la validation des systèmes d’automatisation. Elles vous aident à rédiger les documents nécessaires pour valider des systèmes et garantir leur qualité. Les directives GAMP-5 en sont la dernière version, axée sur le contrôle des risques et une meilleure gestion de la qualité. Les directives GAMP-5 décrivent les limites des catégories dans lesquelles tous les systèmes peuvent être classés.

1. 1. Catégorie 1 : Logiciels d’infrastructure : il s’agit généralement de systèmes d’exploitation sur lesquels des applications sont installées (Windows, Linux, système sur mesure, etc.). Ces systèmes d’exploitation sont qualifiés, mais non validés ; ce sont les applications qui font l’objet d’une validation.
   2. Catégorie 2 : Logiciels standard non configurables : également appelés logiciels commerciaux, ce sont des logiciels faciles à installer et qui ne doivent pas être adaptés aux besoins de votre entreprise. Cette catégorie reprend aussi des logiciels qui peuvent être configurés, mais dont votre entreprise utilise la configuration standard.
   3. Catégorie 3 : Logiciels configurables : il s’agit d’applications logicielles configurées pour répondre aux besoins spécifiques de votre entreprise. C’est la catégorie la plus vaste et la plus complexe à valider.
   4. Catégorie 4 : Logiciels sur mesure : il s’agit de progiciels programmés à partir de zéro spécialement pour votre entreprise.

Le choix de la classification GAMP ou de catégories similaires dépend de l’industrie à laquelle appartient votre entreprise et des appareils et systèmes que vous utilisez. Les directives GAMP s’appliquent au secteur pharmaceutique. Si vous travaillez dans un secteur non pharmaceutique, votre entreprise n’est pas tenue d’utiliser les catégories GAMP. Dans ce cas, vous pouvez notamment vous reporter sur la classification USP :

1. Les équipements standard sans capacité de mesure ni exigence habituelle d’étalonnage, pour lesquels la spécification de la fonctionnalité de base du fabricant est acceptée en tant qu’exigences utilisateur. La conformité de l’équipement du groupe A aux exigences utilisateur peut être vérifiée et documentée par observation visuelle de son fonctionnement : par exemple, une simple pipette.
2. Les équipements et instruments standard qui fournissent des valeurs de mesure, ainsi que les appareils qui contrôlent des paramètres physiques (tels que la température, la pression ou le débit) qui doivent être étalonnés, pour lesquels les exigences utilisateur sont généralement identiques à celles du fabricant au niveau de la fonctionnalité et des limites de fonctionnement. La conformité des instruments ou des équipements du groupe B aux exigences utilisateur est déterminée selon les procédures d’utilisation standard de l’instrument ou de l’équipement et est documentée dans le cadre des processus de qualification de l’installation et de qualification opérationnelle (IQ/OQ) : par exemple, un thermomètre.
3. Le groupe C comprend des instruments et des systèmes d’analyse automatisés pour lesquels les exigences utilisateur en matière de fonctionnalité, de fonctionnement et de limites de performance sont spécifiques à l’application analytique. La conformité des instruments du groupe C aux exigences utilisateur est déterminée par des tests de fonctionnement et de performance spécifiques, tels qu’un API.

Cartographiez les flux de processus des données

Une bonne gestion du cycle de vie des données passe par la cartographie des flux de processus des données. Toutes les (5) étapes du cycle de vie des données, à savoir la création initiale des données (creation), la capture et l’enregistrement, le traitement, y compris la transformation ou la migration (processing), la révision, le reporting (reporting, review & use), la conservation, la récupération (retention & retrieval) et la destruction (destruction), doivent être contrôlées et gérées de façon à garantir la précision, la fiabilité et la conformité des enregistrements et des données.

Le flux de processus de données est une représentation visuelle de la manière dont ces données circulent dans les processus et les systèmes de l’entreprise (input, output, points de stockage et itinéraires entre deux « destinations »). Ce flux doit être tenu à jour dans une « piste d’audit des données », un fichier journal dans lequel tous les événements sont consignés et qui peut avoir une influence sur le produit final (tel que déterminé par l’évaluation des risques).

Une approche pragmatique et basée sur les risques

Pour satisfaire les besoins croissants de l’industrie et assurer une mise en œuvre intelligente et efficace de l’intégrité des données, Pauwels Consulting a développé un programme unique de gouvernance des données. Le programme combine préévaluation minutieuse et transition consécutive, conformément au cycle PDCA bien connu. Les évaluations d’écarts et actions associées sont mises en œuvre en parallèle dans chaque service avec des boucles de rétroaction permanentes et s’accompagnent d’une harmonisation de toute la documentation relative à l’intégrité des données (p. ex. : cahier des charges utilisateur (URS), procédures de traitement des données, etc.).

Notre approche pragmatique basée sur les risques intègre un leadership fort et une bonne gestion des comportements. Elle est conçue pour atteindre et maintenir l’excellence culturelle de l’intégrité des données dans toute l’organisation. Une formation de qualité est indispensable. Dès lors, notre équipe chargée de l’intégrité des données a préparé divers modules de formation personnalisables pour qu’ensemble, nous atteignions ces objectifs.